Data di pubblicazione: 18 dicembre 2007
Identificatore di vulnerabilità: APSB07-20
Codice CVE: CVE-2007-6242, CVE-2007- 4768, CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6244, CVE-2007- 6245, CVE-2007-4324, CVE-2007- 6246, CVE-2007-5476
Piattaforme: tutte
Versioni del software interessate: Adobe Flash Player 9.0.48.0 e versioni precedenti, 8.0.35.0 e versioni precedenti, 7.0.70.0 e versioni precedenti.
In Adobe Flash Player sono state individuate alcune importanti vulnerabilità che potrebbero consentire a eventuali aggressori di assumere il controllo del sistema interessato. Gli aggressori possono sfruttare tali vulnerabilità se l'utente carica inavvertitamente in Flash Player un file SWF dannoso. È pertanto consigliabile eseguire l'aggiornamento all'ultima versione di Flash Player disponibile per la piattaforma in uso.
Adobe Flash Player 9.0.48.0 e versioni precedenti, 8.0.35.0 e versioni precedenti, 7.0.70.0 e versioni precedenti.
Per verificare il numero di versione di Adobe Flash Player, accedere alla pagina Informazioni su Flash Player oppure fare clic con il pulsante destro del mouse sul contenuto Flash e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato nel sistema in uso.
Adobe consiglia a tutti gli utenti di Adobe Flash Player 9.0.48.0 e versioni precedenti di eseguire l'aggiornamento alla versione 9.0.115.0 (Win, Mac, Linux), scaricandola dal Centro di Download di Flash Player* oppure utilizzando, quando richiesto, il meccanismo di aggiornamento automatico integrato nel prodotto.
Per gli utenti che non possono eseguire l'aggiornamento ad Adobe Flash Player 9, è stata sviluppata una versione corretta di Flash Player 7. Per informazioni, consultare la nota tecnica sull'aggiornamento di Flash Player*.
Adobe classifica questo aggiornamento come critico* e consiglia agli utenti interessati di eseguire l'aggiornamento alla versione 9.0.115.0 (Win, Mac, Linux).
In Flash Player 9.0.48.0 e versioni precedenti sono stati rilevati vari errori di convalida dell'input che potrebbero provocare l'esecuzione di codice arbitrario. Tali vulnerabilità potrebbero essere attivate attraverso i contenuti scaricati da un percorso remoto tramite un browser web, un client di posta elettronica o altre applicazioni che includono o fanno riferimento a Flash Player. (CVE-2007- 4768, CVE-2007-6242)
Questo aggiornamento consente di ridurre il rischio di attacchi di tipo "DNS rebinding" da parte di eventuali aggressori in grado di sfruttare le vulnerabilità descritte. Per ulteriori informazioni, consultare l'articolo dell'Adobe Developer Center. (CVE-2007-5275)
Questo aggiornamento introduce un nuovo e più severo metodo per Flash Player per l'interpretazione di file di criteri tra domini diversi. Le modifiche consentono di impedire attacchi di acquisizione illecita di privilegi perpetrati contro server web che ospitano contenuti Flash e file di criteri di domini diversi. Per ulteriori informazioni, consultare l'articolo dell'Adobe Developer Center. (CVE-2007- 6243)
Questo aggiornamento limita il protocollo asfunction: non supportato per risolvere eventuali problemi di cross-site scripting di alcuni file SWF. Questo problema è specifico di Flash Player 8 e Flash Player 9 e non riguarda Flash Player 7. (CVE-2007-6244)
Questo aggiornamento modifica la funzione navigateToURL per impedire eventuali attacchi di tipo "Universal Cross-Site Scripting" (UXSS). Questo problema riguarda il controllo ActiveX di Flash Player e il browser Internet Explorer. (CVE-2007-6244)
Questo aggiornamento impedisce che eventuali aggressori modifichino da remoto le intestazioni HTTP di richieste client ed eseguano attacchi di tipo "HTTP Request Splitting" (suddivisione delle richieste HTTP). (CVE-2007-6245)
Questo aggiornamento riduce i rischi legati a un potenziale problema di "port scanning" (scansione delle porte). Per ulteriori informazioni, consultare l'articolo della knowledge base. (CVE-2007-4324)
Questo aggiornamento di Flash Player per Linux risolve un problema di autorizzazioni di accesso alla memoria che potrebbe portare a un'acquisizione illecita di privilegi. (CVE-2007-6246)
L'aggiornamento di Flash Player per Mac risolve il problema riportato inizialmente da Opera e descritto nel Bollettino sulla sicurezza APSA07-05. (CVE-2007-5476)
| Software interessati | Aggiornamento consigliato | Disponibilità |
|---|---|---|
| Flash Player 9.0.48.0 e versioni precedenti | 9.0.115.0 | Centro di Download di Flash Player |
| Flash Player 9.0.48.0 e versioni precedenti (distribuzione in rete) | 9.0.115.0 | Licenze* |
| Flash CS3 Professional | 9.0.115.0 | Aggiornamento Flash Player 9 per Flash CS3 Professional* |
| Flash Player 9.0.48.0 e versioni precedenti per Linux | 9.0.115.0 | Centro di Download di Flash Player |
| Flex 2.0 | 9.0.115.0 | Aggiornamento della versione di debug di Flash Player* |
Con il presente bollettino sulla sicurezza, Adobe cessa il servizio di supporto di Adobe Flash Player 7 e a partire da questo rilascio non verranno forniti ulteriori aggiornamenti di sicurezza per Flash Player 7. La politica di Adobe per Adobe Flash Player consiste nell'offrire supporto per la versione corrente e per le principali versioni precedenti. In precedenza Flash Player 7 veniva aggiornato con correzioni di sicurezza in via di cortesia per gli utenti dei sistemi operativi Microsoft Windows 95, Microsoft Windows /NT e Macintosh Classic, in quanto non più supportati dalla versione di Flash Player 8 rilasciata nel settembre 2005, e per gli utenti di Linux e Solaris prima del rilascio di Flash Player 9. Gli utenti che desiderano continuare a utilizzare Adobe Flash Player 7 possono trovare i file di installazione corrispondenti nella nota tecnica sulle versioni archiviate di Flash Player.
Adobe desidera ringraziare Tavis Ormandy e Will Drewry del team di sicurezza di Google* per aver segnalato gli errori di convalida dell'input, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007- 4768)
Adobe desidera ringraziare Aaron Portnoy di TippingPoint DVLabs* per aver segnalato un errore di convalida dell'input, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007-6242)
Adobe desidera ringraziare Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson e Weidong Shao della Stanford University* per aver segnalato il problema di rebinding del DNS, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007-5275)
Adobe desidera ringraziare Toshiharu Sugiyama di UBsecure, Inc*. e JPCERT/CC* per aver segnalato il problema relativo ai file di criteri tra domini diversi e alle intestazioni HTTP, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007- 6243, CVE-2007- 6245)
Adobe desidera ringraziare Rich Cannings del team di sicurezza di Google* per aver segnalato il problema del protocollo asfunction:, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007- 6244)
Adobe desidera ringraziare Collin Jackson e Adam Barth della Stanford University* per aver segnalato il problema della funzione navigateToURL, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007- 6244)
Adobe desidera ringraziare Jesse Michael e Thomas Biege di SUSE* per aver segnalato i problemi di acquisizione illecita di privilegi relativi alla versione Linux di Flash Player, contribuendo così a proteggere la sicurezza dei nostri reciproci clienti. (CVE-2007-6246)
Adobe desidera ringraziare Opera* per aver segnalato il problema relativo alla versione di Flash Player per Mac, contribuendo così a proteggere la sicurezza dei nostri clienti. (CVE-2007-5476)
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.
29 gennaio 2008 - Aggiornamento del bollettino sulla sicurezza in seguito al rilascio della versione per Solaris
18 dicembre 2007 - Creazione del bollettino sulla sicurezza
